V6手动不是传说

mxf147

COMODO V6在V5的基础上增加了BB，增强了Sandbox，弱化了规则的存在，向智能型Hips迈进了很大一步，但喜欢传统的手动Hips的仍大有人在，想要找回手动Hips的快感？
1、关掉BB;
2、按以前的老规则强化Hips规则
注：毛豆现在的思路是非信任程序由BB控制，信任程序由Hips规则控制
    毛豆产生的日志详细程度由你规则的强度决定。
例题：
http://bbs.kafan.cn/thread-1433002-1-1.html
COOMODO日志

COMODO Firewall 日志                       
日期        应用程序        行为        目标
2012-12-22 16:05:01        ..download\virus\SAMu\SAMu.exe        修改文件        \Device\KsecDD
2012-12-22 16:05:12        ..download\virus\SAMu\SAMu.exe        修改文件        C:\Documents and Settings\Administrator\Application Data\Elti
2012-12-22 16:05:17        ..download\virus\SAMu\SAMu.exe        修改文件        C:\Documents and Settings\Administrator\Application Data\Elti\qeqis.exe
2012-12-22 16:05:19        ..download\virus\SAMu\SAMu.exe        修改文件        \Device\NamedPipe\lsarpc
2012-12-22 16:05:19        ..download\virus\SAMu\SAMu.exe        修改注册表项        HKUS\S-1-5-21-1645522239-920026266-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
2012-12-22 16:05:25        ..download\virus\SAMu\SAMu.exe        修改文件        C:\Documents and Settings\Administrator\Local Settings\Application Data\uwydc.alz
2012-12-22 16:05:33        ..download\virus\SAMu\SAMu.exe        创建进程        C:\Documents and Settings\Administrator\Application Data\Elti\qeqis.exe
2012-12-22 16:05:38        C:\Documents and Settings\Administrator\Application Data\Elti\qeqis.exe        修改文件        \Device\KsecDD
2012-12-22 16:05:56        ..download\virus\SAMu\SAMu.exe        直接磁盘访问        C:\
2012-12-22 16:06:00        C:\Documents and Settings\Administrator\Application Data\Elti\qeqis.exe        修改文件        \Device\NamedPipe\lsarpc
2012-12-22 16:06:00        C:\Documents and Settings\Administrator\Application Data\Elti\qeqis.exe        修改注册表项        HKUS\S-1-5-21-1645522239-920026266-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
2012-12-22 16:06:00        C:\Documents and Settings\Administrator\Application Data\Elti\qeqis.exe        访问内存        C:\WINDOWS\explorer.exe
2012-12-22 16:06:03        ..download\virus\SAMu\SAMu.exe        创建进程        C:\Documents and Settings\Administrator\Local Settings\Temp\tmp586c82f9.bat
2012-12-22 16:06:08        ..download\virus\SAMu\SAMu.exe        直接磁盘访问        C:\
2012-12-22 16:06:24        ..download\virus\SAMu\SAMu.exe        直接磁盘访问        C:\
2012-12-22 16:06:24        ..download\virus\SAMu\SAMu.exe        创建进程        C:\WINDOWS\system32\cmd.exe
报告结束                       

raider520

学习了！

Candygu

注：毛豆现在的思路是非信任程序由BB或Sandbox控制，信任程序由Hips规则控制

纠正一下，

1. HIPS不启用的情况下，非信任程序由BB控制。

2. HIPS启用的情况下， 非信任程序由BB和HIPS控制，只不过在开启BB的情况下，由BB内置规则控制的动作在HIPS中将不起作用而已。

3. Sandbox指的是虚拟沙盘，是与HIPS和BB独立的另一组件，与BB是否启用，HIPS是否启用均无关。既可以用于非信任程序也可以用于信任程序，Sandbox由总是入沙、右键入沙、拖动到主界面入沙、Widget入沙和VK组成。

mxf147

Candygu 发表于 2012-12-22 16:59
纠正一下，

1. HIPS不启用的情况下，非信任程序由BB控制。

非信任程序由BB控制，BB的内置规则和Hips的全局规则有某种关联，但具体是怎么关联的，我现在也不清
你可以尝试调整Hips的全局规则后去测试BB


编辑一下，原来观点有错误，以免误导大家

柯林

没人气了 改天补给楼主和楼上

ericzhao1986

添加通配符繁瑣也就算了，如http://bbs.kafan.cn/forum.php?mo ... 6orderby%3Ddateline所示的文件組過多不能下拉才是關鍵的大BUG，之前beta版的時候也是這樣，現在還是這樣，直接導致自定義規則的殘疾！不得不說是V6的一大敗筆！

mxf147

ericzhao1986 发表于 2012-12-22 17:18
添加通配符繁瑣也就算了，如http://bbs.kafan.cn/forum.php?mod=viewthread&tid=1433020&extra=page%3D1%26 ...

V6确实有这个问题

Savoor

BB拦截和HIPS一样,都是行为拦截,并非SB,只是BB的规则是内定的,只能通过等级进行调节.

并且,HIPS在磁盘访问上有所改进,比V5更强劲.

HIPS疯狂模式下,BB的拦截好像被削弱了

a256886572008

從V5開始，一旦開了 BB，HIPS 就能控制安全進程。

這就是 "不能在開了BB之後，調整all applications那一條規則" 的原因。

mxf147

a256886572008 发表于 2012-12-22 17:41
從V5開始，一旦開了 BB，HIPS 就能控制安全進程。

這就是 "不能在開了BB之後，調整all applications那一 ...

這就是 "不能在開了BB之後，調整all applications那一條規則" 的原因

这句话什么意思？